Microsoft Sentinel için Exchange Security Analizler Online Collector (Azure İşlevleri kullanarak) bağlayıcısı
Bağlan veya Microsoft Sentinel Çözümlemesi için Exchange Online Güvenlik yapılandırmasını göndermek için kullanılır
Bu, otomatik olarak oluşturulan içeriktir. Değişiklikler için çözüm sağlayıcısına başvurun.
Bağlan or öznitelikleri
| Bağlan or özniteliği | Açıklama |
|---|---|
| Log Analytics tabloları | ESIExchangeOnlineConfig_CL |
| Veri toplama kuralları desteği | Şu anda desteklenmiyor |
| Destekleyen: | Community |
Sorgu örnekleri
Tabloda kaç Yapılandırma girdisi olduğunu görüntüleme
ESIExchangeOnlineConfig_CL
| summarize by GenerationInstanceID_g, EntryDate_s, ESIEnvironment_s
Önkoşullar
Exchange Security Analizler Online Collector ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:
- Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
- microsoft.automation/automationaccounts izinleri: Runbook ile Azure Otomasyonu oluşturmak için okuma ve yazma izinleri gereklidir. Otomasyon Hesabı hakkında daha fazla bilgi edinmek için belgelere bakın.
- Microsoft.Graph izinleri: Exchange Online atamalarına bağlı kullanıcı/grup bilgilerini almak için Groups.Read, Users.Read ve Auditing.Read izinleri gereklidir. Daha fazla bilgi edinmek için belgelere bakın.
- Exchange Online izinleri: Exchange Online Güvenlik Yapılandırmasını almak için Exchange.ManageAsApp izni ve Genel Okuyucu veya Güvenlik Okuyucusu Rolü gereklidir.Daha fazla bilgi edinmek için belgelere bakın.
- (İsteğe bağlı) Günlük Depolama izinleri: Günlükleri depolamak için Otomasyon Hesabı Yönetilen kimliğine bağlı bir depolama hesabına blob veri katkıda bulunanı Depolama veya Uygulama Kimliği zorunludur.Daha fazla bilgi edinmek için belgelere bakın.
Satıcı yükleme yönergeleri
NOT - GÜNCELLE
Not
Bu veri bağlayıcısı, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto İşlevleri diğer adını oluşturmak için her Ayrıştırıcının adımlarını izleyin: ExchangeConfiguration ve ExchangeEnvironmentList
ADIM 1 - Ayrıştırıcı dağıtımı
Not
Bu bağlayıcı, Güvenlik analizini Microsoft Sentinel'e çekmek üzere 'Exchange Online'a bağlanmak için Azure Otomasyonu kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure Otomasyonu fiyatlandırma sayfasına bakın.
ADIM 2 - Bağlayıcıyı ve ilişkili Azure Otomasyonu dağıtmak için aşağıdaki iki dağıtım seçeneğinden BİRİ'ni seçin
ÖNEMLİ: 'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısını dağıtmadan önce, Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na (aşağıdakilerden kopyalanabilir) ve Exchange Online kiracı adına (contoso.onmicrosoft.com) sahip olun.
Seçenek 1 - Azure Resource Manager (ARM) Şablonu
'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısının otomatik dağıtımı için bu yöntemi kullanın.
Aşağıdaki Azure'a Dağıt düğmesine tıklayın.
Tercih edilen Abonelik, Kaynak Grubu ve Konum'a tıklayın.
Çalışma Alanı Kimliği, Çalışma Alanı Anahtarı, Kiracı Adı, 've/veya Diğer gerekli alanlar' girin.
- Yukarıda belirtilen hüküm ve koşulları kabul ediyorum etiketli onay kutusunu işaretleyin. 5. Dağıtmak için Satın Al'a tıklayın.
Seçenek 2 - Azure Otomasyonu El ile Dağıtımı
'ESI Exchange Online Güvenlik Yapılandırması' bağlayıcısını Azure Otomasyonu ile el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.
ADIM 3 - Yönetilen Kimlik Hesabına Microsoft Graph İzni ve Exchange Online İzni Atama
Exchange Online bilgilerini toplamak ve Kullanıcı bilgilerini ve yönetici gruplarının üye listesini alabilmek için otomasyon hesabının birden çok izne sahip olması gerekir.
Sonraki adımlar
Daha fazla bilgi için Azure Market ilgili çözüme gidin.